内网渗透之密码喷洒

免责声明由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

前言

在获取到webshell打通内网隧道之后，就回到了渗透测试的本质信息收集。在常规的企业安全建设中，建设方案一般是外网严内网松，外网部署了各种安全设备内网中弱口令、中间件漏洞一大堆。获取到shell的机器上通过我们收集到的一些账号密码可以对后续的机器进行密码喷洒。

密码喷洒

密码喷洒攻击属于一种自动化攻击的方式，为了避免只针对一个用户进行密码爆破而造成账户锁定，密码喷洒攻击是对所有用户进行爆破，既避免了用户被锁定，同时也提高了用户破解密码的效率。同时，不同于固定用户名对密码进行爆破，密码喷洒攻击是固定密码对用户名进行爆破。

其实上面的解释太过于官方，说白了就是爆破。

信息泄露

通过gitlab未授权获取到一些账号密码。

突破边界

同一网段shiro反序列化注入内存🐎，发现隔离网段192.168.21.x/24

内网隧道

FRP搭建SOCKS5代理+Proxifier全局代理

FSCAN

[+] 192.168.21.172        MS17-010        (Windows 7 Professional 7601 Service Pack 1)
[+] 192.168.21.55        MS17-010        (Windows 7 Professional 7601 Service Pack 1)
[+] 192.168.21.191        MS17-010        (Windows 7 Ultimate 7601 Service Pack 1)
[*] 192.168.21.191       WDMHOUTWDWORK3           Windows 7 Ultimate 7601 Service Pack 1
[*] 192.168.21.172       __MSBROWSE__WDWORK2           Windows 7 Professional 7601 Service Pack 1
[*] 192.168.21.130       WDMHOUTZENTAO            Windows Server 2012 R2 Standard 96080
[*] 192.168.21.27  [+]DC WDMHOUTDC                Windows Server 2012 R2 Standard 9600
[+] NetInfo:
[*]192.168.21.80
   [->]ftweb
   [->]192.168.21.80
[*] 192.168.21.55        WDMHOUTWDWORK1           Windows 7 Professional 7601 Service Pack 1
[*] 192.168.21.73  (Windows 10 Pro 16299)
[*] WebTitle:http://192.168.21.80:8080 code:200 len:154    title:login
[*] 192.168.21.80        WDMHOUTFTPWEB            Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] 192.168.21.80  (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)

扫描结果中发现一堆Windows机器，并且扫描到有DC。

原喷洒实例

密码本-通过前期信息收集整理得到的

ErpBack@2021..
Wdmh@Test123
wangdi@123
wangdi@123..
Wangdi.com@123
Wangdi.com@123..
Zhangdi@123
Wangwei@123
Zhangjie@123
Zhangsan@123
Lisisi@123
Wdmh@Work123
Wdmh@Test123
CRM@2021..
Wangdi.com@Zentao123
Wdmh@creat2021..
wangdi@123
wangdi@123..
Wangdi.com@123
Wangdi.com@123..

喷洒工具推荐-超级弱口令

将信息收集到的账号密码导入到工具中食用

喷洒协议

一般对SSH、RDP、SMB进行爆破，为什么要爆破这几个协议。

SSH：直接获取主机权限

RDP：远程登录到这台机器

SMP：横向移动

喷洒结果

192.168.21.55

口令复用RDP——WDWORK3wdwork----Wdmh@Work123

192.168.21.55----SMB----445----WDWORK3wdwork----Wdmh@Work123

192.168.21.130

RDP----3389----administrator----Wangdi.com@123

SMB----445----WDWORK1administrator----Wangdi.com@123

总结

1、密码本来源途径（信息泄露、翻配置文件、翻回收站、桌面账号密码本、mimikatz抓到的）。

2、喷洒的时候工具尽量放到内网机器上面，本地使用工具的线程过高流量过大会导致隧道崩掉。

3、喷洒时可以针对一个C段进行，这样能爆出来的机器会有很多。

4、内网渗透中，能获取到主机管理员账号密码，将会使我们横向事半功倍，尤其是在大内网环境中，密码复用率很高，一波喷洒，能助力你拿到一波主机，对拿到的主机再次抓取密码，再用新拿到的密码喷洒一波......，如此反复。当然密码的获取还可以通过翻一些敏感文件，运气好的话，有时桌面就会有账号密码.txt这样的文件。密码喷洒的思路就是这样：不断收集内网账号密码，不断去喷洒，可以针对135,139,445,3389,22,1433,3306,1521等端口进行喷洒。相关工具fscan，超级弱口令等，当然也有其他工具，工具使用看个人使用顺手即可。

原文链接

文章来源：网络安全情报攻防站

原文链接：https://t.zsxq.com/04NZbUZvR

往期推荐

HW结束了，在北京，我的青春一小时412.5

内网渗透测试基础

解密震网病毒

红队从0到1实战篇--- 权限维持(二）

原文始发于微信公众号（夜组安全）：内网渗透之密码喷洒